提及web安全，不少伙伴出口即可说出SQL注入、CSRF、XSS、传输加密等等。 业余“观察过”不少大大小小的网站或者App，却发现了太多“粗心”的开发伙伴遗留了上述的安全问题，这里小结下造成互联网应用安全问题的一些禁忌

• 永远不要相信接口调用方（或是前端提交）的数据

  表单可以非法输入，HTTPS明文传输可以篡改，HTTPS也可以通过证书劫持看到接口请求、响应格式从而进行数据伪造等等，这些都要做严格的数据校验

• 永远不要冒险相信前端对输入数据的校验结果

• 如果用到了签名校验，加密算法、密钥可以结合自己的业务适当变一下，最好校验数据有个有效期，然后尽量想办法避免密钥交换过程中造成的密钥泄露（比如http劫持）

• 使用到类似Oauth2.0的开放授权协议或者类似场景时，重要过程一定要在服务器端进行，比如全局token的生成或使用

• 尽量不要尝试自己去创造一种基础加密算法，因为即使你很牛逼，但是没有经过大量使用验证的加密算法可能会有意想不到的问题哦